Reforme avstralskega zakona o zasebnosti 2026: vodnik za založnike in oglaševalce o soglasju za piškotke, zakonski delikt in Children's Online Privacy Code
Večino zadnjih dveh desetletij je bilo avstralsko pravo zasebnosti bolj tiho kot njegova evropska ali ameriška ustreznica. Ta doba se je končala. Privacy and Other Legislation Amendment Act 2024, sprejet novembra 2024, je največja reforma Privacy Act 1988 v eni generaciji. Uvaja zakonski delikt za resne kršitve zasebnosti, močnejša pooblastila za izvrševanje za Office of the Australian Information Commissioner (OAIC), namenski Children's Online Privacy Code, pomembne nove zahteve glede preglednosti za avtomatizirano odločanje in jasno pot k soglasju za opt-in za večino ciljnega oglaševanja. Če v letu 2026 upravljate digitalno oglaševanje, analitiko ali kakršno koli sledenje uporabnikov na avstralskem trgu, reforma preoblikuje vaše obveznosti glede skladnosti na način, ki ga ne morete prezreti. Ta vodnik pregleda, kaj se je spremenilo, kaj še prihaja in natančno, kaj bi morali založniki in oglaševalci storiti zdaj.
Struktura reforme 2024–2026
Reforma se uvaja v dveh tranšah, in le prva je v celoti stopila v veljavo. Razumevanje zaporedja je pomembno za vedenje, kaj je pravno v veljavi v primerjavi s tem, kar prihaja.
Tranša 1 — V veljavi od 2024–2025
Privacy and Other Legislation Amendment Act 2024, odobren novembra 2024, je prinesel več sprememb, ki že veljajo:
- Zakonski delikt za resne kršitve zasebnosti — posamezniki lahko neposredno tožijo za resne kršitve zasebnosti, brez potrebe po dokazovanju kršitve samega Privacy Act
- Nove civilne kazni — OAIC lahko zahteva kazni za kakršno koli vmešavanje v zasebnost, ne le za resne ali ponavljajoče se kršitve
- Zahteve glede preglednosti za avtomatizirano odločanje — subjekti morajo razkriti, ko se sprejemajo pomembne odločitve o posameznikih z uporabo avtomatiziranih sistemov
- Doxing kriminaliziran — namerno objavljanje osebnih podatkov z namenom povzročitve škode je zdaj kaznivo dejanje
- Children's Online Privacy Code — OAIC mora razviti zavezujoči kodeks za storitve, do katerih bodo verjetno dostopali otroci, s kodeksom, načrtovanim za leto 2026
Tranša 2 — V aktivnem posvetovanju za 2026–2027
Druga tranša zajema bolj strukturalne spremembe in se obdeluje skozi vladni dogovor v letih 2025 in 2026. Pričakovani elementi vključujejo:
- Odstranitev ali znatno zožanje izjeme za mala podjetja, ki trenutno opravičuje subjekte z letnim prometom pod AUD 3 milijone
- Jasnejši test poštenosti in razumnosti, ki se nanaša na vsako obravnavo osebnih informacij, neodvisno od soglasja
- Izrecno urejanje ciljnega oglaševanja, z verjetnim opt-in soglasjem za občutljive kategorije
- Nova pravica do izbrisa, ki avstralsko pravo približuje GDPR
- Strožji nadzor nad čezmejnimi prenosi podatkov
Kaj šteje kot osebne informacije po avstralskem pravu
Avstralski Privacy Act opredeljuje osebne informacije široko. Zajema vse informacije o identificiranem ali razumno identificiranem posamezniku, OAIC pa razlaga razumno identificiranega tako, da vključuje spletne identifikatorje, ID-je naprav, naslove IP v kombinaciji z drugimi podatki in identifikatorje oglaševanja. V praksi piškotki, sledenje s piksli, prstni odtisi naprav in identitetni grafi, ki se uporabljajo za oglaševanje na različnih mestih, vsi obdelujejo osebne informacije po avstralskem pravu in so v celoti v obsegu skladnosti z Australian Privacy Principles (APP).
Kako deluje soglasje za piškotke po avstralskem pravu leta 2026
Avstralsko pravo trenutno ne zahteva celotnega prijavnega bannerja v slogu GDPR za vse piškotke. Toda prav tako ni povsem prosto, in več nedavnih dogajanj je zaostrilo standarde.
APP 3 — Zbiranje zahteva obvestilo
Australian Privacy Principle 3 zahteva, da se osebne informacije zbirajo le z zakonitimi in poštenimi sredstvi z obvestilom o namenih. Za piškotke, ki zbirajo osebne informacije, to pomeni, da mora biti pred ali ob zbiranju predloženo vidno, informativno obvestilo. Skrito sledenje ne zadosti APP 3.
APP 6 — Uporaba in razkritje zahtevata ujemanje namena
Osebne informacije se smejo uporabiti le v namen, za katerega so bile zbrane, za razumno povezan sekundarni namen ali s soglasjem posameznika. Deljenje podatkov, pridobljenih iz piškotkov, z digitalno oglaševalsko platformo za vedenjsko oglaševanje z navzkrižnim kontekstom navadno presega primarni namen, kar ga usmerja k soglasju.
Navodila OAIC o sledenju
Navodila OAIC iz leta 2024 o tehnologijah sledenja so nedvoumna: subjekti bi morali zagotoviti jasen mehanizem za posameznike, da se odjavijo od sledenja, in za vsak primer uporabe, ki vključuje občutljive informacije ali profiliranje za pomembne odločitve, OAIC pričakuje opt-in soglasje. To ciljno oglaševanje, programsko retargetiranje, ponovitev seje in vedenjsko analitiko trdno umešča na področje opt-in v praksi, čeprav statut tega v vsakem primeru še ni naredil obveznega.
Praktična konfiguracija CMP za leto 2026
Večina založnikov, ki delujejo v Avstraliji, zdaj izvaja CMP, ki predstavlja banner s tremi stanji: Sprejmi, Zavrni in Prilagodi. Za promet iz EU ali UK je opt-in strog. Za avstralski promet je opt-in priporočena privzeta nastavitev za ciljno oglaševanje in ponovitev seje, medtem ko analitika pogosto lahko deluje pod modelom obvestila in izbire, dokler sta anonimizacija IP in minimizacija podatkov vzpostavljeni.
Zakonski delikt — Kaj dejansko omogoča
Novi zakonski delikt je najpomembnejša sprememba za digitalne oglaševalce v praktičnem smislu. Prej je le OAIC lahko uveljavljal pravice do zasebnosti, individualna pravna sredstva pa so bila omejena. Zakonski delikt to spreminja.
Kaj je resna kršitev zasebnosti?
Delikt zajema namerno ali brezbrižno vedenje, ki povzroča resno kršitev zasebnosti, bodisi z vdorom v osamitev bodisi z zlorabo zasebnih informacij. Sodišča bodo tehtala resnost glede na javni interes in druge premisleke.
Zakaj bi morali oglaševalci biti pozorni
Agresivno sledenje, zlasti ponovitev seje, ki zajema pritiske tipk in vedenje kurzorja na občutljivih straneh, prstni odtisi, ki zaobidejo odjavitev uporabnika, ali nepooblaščeno povezovanje anonimnega vedenja z imenovanou identiteto — vse to so zdaj verodostojne dejanske podlage za zahtevek iz delikta. Pričakujte, da bodo tožnikove firme leta 2026 začele testirati meje. Avstralija nima kulture skupinskih tožb kot Združene države Amerike, toda zastopniške tožbe so mogoče in nekatere firme se jasno pozicionirajo zanje.
Children's Online Privacy Code
Children's Online Privacy Code je edini najbolj specifičen kos nove ureditve za založnike, katerih spletna mesta bodo verjetno dostopna otrokom.
Kdo je v obsegu
Kodeks se nanaša na storitve socialnih medijev, relevantne elektronske storitve, do katerih bodo verjetno dostopali otroci, in določene določene internetne storitve. V praksi to sega daleč onkraj čistih otroških spletnih mest — vsaka platforma za splošno občinstvo, do katere dostopa znatno število mladoletnih, bo verjetno zajeta, OAIC pa se pričakuje, da bo sprejel vključujočo razlago.
Ključne obveznosti, pričakovane v kodeksu
- Privzete nastavitve visoke zasebnosti za uporabnike, mlajše od 18 let
- Omejitve ciljnega oglaševanja za mladoletnike
- Prepovedi temnih vzorcev, ki otroke spodbujajo k šibkejšim nastavitvam zasebnosti
- Starostno primerne razlage o obdelavi podatkov
- Ocene koristi otroka pred uvajanjem funkcij, ki obdelujejo njihove osebne informacije
Kaj pripraviti zdaj
Založniki, katerih občinstvo vključuje znatno število obiskovalcev, mlajših od 18 let, bi morali začeti revidirati sklad sledenja, konfiguracijo oglaševanja in privzete nastavitve pred dokončanjem kodeksa. Naknadna prilagoditev je navadno dražja in bolj moteča kot načrtovanje skladnosti v sklade od samega začetka.
Položaj izvrševanja leta 2026
OAIC je skupaj z reformami prejel bistveno povečane vire. Revizijska dejavnost se je povečala, komisar pa je nakazal bolj javni pristop k izvrševanju.
Veljavne kazni
Najvišja civilna kazen za resno ali ponavljajoče se vmešavanje v zasebnost je višja od: AUD 50 milijonov, trikratnika koristi, pridobljene s tem ravnanjem, ali 30 odstotkov prilagojenega prometa subjekta v obdobju kršitve. Reforma je uvedla tudi drugo raven kazni za vsako vmešavanje v zasebnost, ki ne dosega praga resnosti, s čimer je OAIC dobil bolj kalibrirano orodje za izvrševanje.
Obvezno prijavljivih kršitev podatkov
Avstralija ima obvezno shemo prijavljanja kršitev podatkov od leta 2018, OAIC pa je bil vidno agresiven pri izvrševanju po večjih incidentih kršitev avstralskih podatkov v letih 2022 in 2023. Vsak incident, povezan s piškotki ali sledenjem, ki vodi do nepooblaščenega razkritja, bo verjetno v obsegu.
Čezmejni prenosi in globalni promet
Australian Privacy Principle 8 zahteva, da subjekti sprejmejo razumne ukrepe za zagotovitev, da tuji prejemniki obravnavajo osebne informacije skladno z APP. Za založnika, ki uporablja globalno oglaševalsko tehnologijo, to pomeni bodisi jurisdikcijo s bistveno podobnimi zakoni, pogodbeno zavezujočo obveznostjo tujega prejemnika ali informirano soglasje posameznika.
Prenosi v Združene države Amerike
ZDA trenutno niso priznan kot država z bistveno podobnimi zakoni. Prenosi k ponudnikom oglaševalske tehnologije v ZDA zato zahtevajo bodisi zavezujoče pogodbene obveznosti ali izrecno soglasje. Založniki, ki se zanašajo na certifikate Data Privacy Framework — ki pokrivajo prenose EU-ZDA — bi morali upoštevati, da ti certifikati samodejno ne izpolnjujejo australske zahteve APP 8.
Kontrolni seznam revizije za avstralski promet leta 2026
- CMP predstavlja jasne možnosti Sprejmi, Zavrni in Prilagodi z enako vizualno vidnostjo za avstralski promet
- Ciljno oglaševanje, retargetiranje in ponovitev seje zahtevata opt-in soglasje; analitika deluje pod obvestilom in minimizacijo podatkov
- Politika zasebnosti jasno identificira piškotke, sledenje s piksli in identifikatorje oglaševanja z izjavo o namenu, usklajeno z APP 3 in APP 6
- Mehanizmi čezmejnega prenosa so dokumentirani za vsakega neavstralskega obdelovalca (seznam prodajalcev, pogodbene zaščite ali soglasje)
- Avtomatizirano odločanje je razkrito, kjer se z uporabo takih sistemov sprejemajo pomembne odločitve
- Ocena pripravljenosti za Children's Online Privacy Code je dokončana, z visokimi privzetimi nastavitvami zasebnosti, ki so na voljo za zaznane mladoletne uporabnike
- Pregled tveganja doxinga je dokončan za vso funkcionalnost, ki bi lahko objavila osebne informacije, ki jih predloži uporabnik
- Načrt odziva na kršitev podatkov je usklajen z 30-dnevnim oknom za obveščanje in trenutno obliko poročanja OAIC
Obeti za leto 2026
Avstralija je sredi strukturalnega premika od lažjega režima zasebnosti k takemu, ki je videti vse bolj podoben evropskim in kalifornijskim okvirom — s svojimi avstralskimi značilnostmi. Prva tranša je že izvršljiva in že preoblikuje pravdanje. Druga tranša, vključno z zožitvijo izjeme za mala podjetja in izrecno ureditvijo ciljnega oglaševanja, bo verjetno stopila v veljavo leta 2026 ali 2027. Založniki in oglaševalci, ki so investirali v sklad soglasij na ravni GDPR, imajo že večino mehanizmov, ki jih potrebujejo za skladnost. Tisti, ki so se zanašali na zgodovinsko lažje stališče Avstralije, vstopajo v novi režim s poznanimi vrzelmi. Pravi poteg je zapreti te vrzeli zdaj — preden zakonski delikt, Children's Code ali revizija OAIC ne vsili vprašanja po časovnici, ki je nihče ne nadzoruje.